- 14,112
- 20
- 8 Ноя 2022
Неочевидный риск, который оказался критическим.
Недавно в Windows 11 версии 23H2 Для просмотра ссылки Войдиили Зарегистрируйся позволяющая локальным атакующим получить повышенные привилегии благодаря целочисленному переполнению в драйвере «ksthunk.sys». Проблема обнаружена в функции «CKSAutomationThunk::ThunkEnableEventIrp», отвечающей за обработку 32-битных процессов в 64-битной среде.
Исследование представлено на мероприятии TyphoonPWN 2024, где было продемонстрировано успешное использование эксплойта . Разработчик, участвовавший в соревновании, занял второе место.
Microsoft заявила, что уязвимость уже была устранена, но точная дата исправления не указана. Проверка показала, что проблема сохраняется в последней версии Windows 11, а официальный CVE-номер и документация по исправлению отсутствуют.
Ошибка связана с некорректной обработкой размера буфера, что приводит к переполнению. Атакующий может получить контроль над памятью и произвести произвольную запись, что позволяет внедрить системный токен в текущий процесс и получить привилегии администратора.
Для эксплуатации используется следующая последовательность:
Специалисты рекомендуют:
Недавно в Windows 11 версии 23H2 Для просмотра ссылки Войди
Исследование представлено на мероприятии TyphoonPWN 2024, где было продемонстрировано успешное использование эксплойта . Разработчик, участвовавший в соревновании, занял второе место.
Microsoft заявила, что уязвимость уже была устранена, но точная дата исправления не указана. Проверка показала, что проблема сохраняется в последней версии Windows 11, а официальный CVE-номер и документация по исправлению отсутствуют.
Ошибка связана с некорректной обработкой размера буфера, что приводит к переполнению. Атакующий может получить контроль над памятью и произвести произвольную запись, что позволяет внедрить системный токен в текущий процесс и получить привилегии администратора.
Для эксплуатации используется следующая последовательность:
- Обход проверки «ProbeForRead» через манипуляцию адресами памяти.
- Переполнение буфера приводит к повреждению соседнего объекта памяти.
- Создаются примитивы для чтения и записи в произвольные области памяти.
- Через модификацию токена процесса атакующий получает доступ к привилегиям SYSTEM.
Специалисты рекомендуют:
- Установить все доступные обновления для Windows 11.
- Использовать антивирусные решения, способные обнаруживать аномальное поведение процессов.
- Установить ограничения на запуск подозрительных приложений в локальной сети.
- Источник новости
- www.securitylab.ru
